Sdílet prostřednictvím

Konfigurace ověřování založeného na certifikátech Microsoft Entra

Ověřování založené na certifikátech Microsoft Entra (CBA) umožňuje organizacím nakonfigurovat tenanty Microsoft Entra tak, aby povolovaly nebo vyžadovaly ověřování pomocí certifikátů X.509 vytvořených infrastrukturou veřejných klíčů organizace pro přihlašování aplikací a prohlížečů. Tato funkce umožňuje organizacím používat moderní ověřování bez hesla odolné vůči útokům phishing pomocí certifikátu x.509.

Při přihlašování se uživatelům zobrazí také možnost ověření pomocí certifikátu místo zadání hesla. Pokud na zařízení existuje více odpovídajících certifikátů, může uživatel vybrat, který z nich se má použít. Certifikát se ověří na uživatelském účtu a v případě úspěchu se přihlásí.

Podle těchto pokynů nakonfigurujte a použijte Microsoft Entra CBA pro tenanty v plánech Office 365 Enterprise a US Government. Už byste měli mít nakonfigurovanou infrastrukturu veřejných klíčů (PKI).

Požadavky

Ujistěte se, že jsou splněny následující předpoklady:

  • Nakonfigurujte aspoň jednu certifikační autoritu (CA) a všechny zprostředkující certifikační autority v ID Microsoft Entra.
  • Uživatel musí mít přístup k uživatelskému certifikátu (vydanému z důvěryhodné infrastruktury veřejných klíčů nakonfigurované v tenantovi) určenému k ověření klienta pro ověření na základě ID Microsoft Entra.
  • Každá certifikační autorita by měla mít seznam odvolaných certifikátů (CRL), na který se dá odkazovat z internetových adres URL. Pokud důvěryhodná certifikační autorita nemá nakonfigurovaný CRL, Microsoft Entra ID neprovádí žádnou kontrolu CRL, odvolání uživatelských certifikátů nefunguje a ověřování není blokováno.

Důležité

Ujistěte se, že je infrastruktura veřejných klíčů zabezpečená a není možné ji snadno ohrozit. V případě narušení mohou útočníci vytvářet a podepisovat klientské certifikáty a ohrozit jakéhokoli uživatele v tenantovi, ať už jde o uživatele synchronizované z místního prostředí, nebo pouze cloudové uživatele. Avšak strategie silné ochrany klíčů spolu s dalšími fyzickými a logickými ovládacími prvky, jako jsou aktivační karty HSM nebo tokeny pro zabezpečené úložiště artefaktů, může poskytovat vícevrstvou ochranu, aby zabránila externím útočníkům nebo vnitřním hrozbám v narušení integrity PKI. Další informace naleznete v tématu Zabezpečení infrastruktury veřejných klíčů.

Důležité

Navštivte doporučení Microsoftu pro osvědčené postupy pro kryptografickou službu Microsoftu, která zahrnuje volbu algoritmu, délku klíče a ochranu dat. Ujistěte se, že používáte jeden z doporučených algoritmů, délku klíče a křivky schválené nistou.

Důležité

V rámci průběžných vylepšení zabezpečení koncových bodů Azure/M365 přidáváme podporu protokolu TLS1.3 a očekává se, že tento proces bude trvat několik měsíců, než pokryje tisíce koncových bodů služby v Azure nebo M365. To zahrnuje koncový bod Microsoft Entra, který je používán pro ověřování na základě certifikátů Microsoft Entra (CBA) *.certauth.login.microsoftonline.com a *.certauth.login.microsoftonline.us. TLS 1.3 je nejnovější verze internetového nejčastěji nasazeného protokolu zabezpečení, která šifruje data a poskytuje zabezpečený komunikační kanál mezi dvěma koncovými body. Protokol TLS 1.3 eliminuje zastaralé kryptografické algoritmy, vylepšuje zabezpečení oproti starším verzím a má zašifrovat co největší část metody handshake. Důrazně doporučujeme, aby vývojáři začali testovat protokol TLS 1.3 ve svých aplikacích a službách.

Poznámka:

Při vyhodnocování infrastruktury veřejných klíčů je důležité zkontrolovat zásady vystavování certifikátů a vynucování. Jak už bylo zmíněno, přidání certifikačních autorit (CA) do konfigurace Microsoft Entra umožňuje certifikátům vydaným těmito certifikačními autoritami ověřit libovolného uživatele v Microsoft Entra ID. Z tohoto důvodu je důležité zvážit, jak a kdy mají certifikační autority povolené vydávat certifikáty a jak implementují opakovaně použitelné identifikátory. Pokud správci potřebují zajistit, aby k ověření uživatele bylo možné použít jenom konkrétní certifikát, měli by výhradně používat vazby s vysokou afinitou, aby dosáhli vyšší úrovně jistoty, že pouze tento konkrétní certifikát může ověřit uživatele. Další informace najdete v tématu vazby s vysokou afinitou.

Konfigurace a testování Microsoft Entra CBA

Je potřeba provést některé kroky konfigurace před povolením Microsoft Entra CBA. Nejprve musí správce nakonfigurovat důvěryhodné certifikační autority, které vydávají uživatelské certifikáty. Jak je vidět na následujícím diagramu, používáme řízení přístupu na základě role, abychom měli jistotu, že k provádění změn jsou potřeba jenom správci s nejnižšími oprávněními.

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. Tento postup pomáhá zlepšit zabezpečení pro vaši organizaci. Globální správce je vysoce privilegovaná role, která by měla být omezená na scénáře tísňového volání nebo v případě, že nemůžete použít existující roli.

Volitelně můžete také nakonfigurovat ověřovací vazby pro mapování certifikátů na jednofaktorové nebo vícefaktorové ověřování a nakonfigurovat vazby uživatelského jména pro mapování pole certifikátu na atribut objektu uživatele. Správci zásad ověřování můžou konfigurovat nastavení související s uživatelem. Po dokončení všech konfigurací povolte Microsoft Entra CBA pro tenant.

Diagram kroků potřebných k povolení ověřování založeného na certifikátech Microsoft Entra

Krok 1: Konfigurace certifikačních autorit s úložištěm důvěryhodnosti založeným na infrastruktuře veřejných klíčů

Entra má nové úložiště důvěryhodných certifikátů založených na infrastruktuře veřejných klíčů (PKI). Úložiště důvěryhodnosti CA založené na PKI uchovává certifikační autority jako objekt kontejneru pro každou jednotlivou PKI. Správci můžou spravovat certifikační autority v kontejneru na základě infrastruktury veřejných klíčů snadněji než jeden plochý seznam certifikačních autorit.

Úložiště důvěryhodnosti založené na infrastruktuře veřejných klíčů má vyšší limity pro počet certifikačních autorit a velikost jednotlivých souborů certifikační autority. Úložiště důvěryhodnosti založené na infrastruktuře veřejných klíčů podporuje až 250 certifikačních autorit a velikost 8 kB pro každý objekt certifikační autority. Důrazně doporučujeme použít nové úložiště důvěry založené na infrastruktuře veřejných klíčů pro ukládání certifikačních autorit, které je škálovatelné a podporuje nové funkce, jako jsou nápovědy vydavatele.

Poznámka:

Pokud ke konfiguraci certifikačních autorit používáte staré úložiště důvěryhodnosti, doporučujeme nakonfigurovat úložiště důvěryhodnosti založené na infrastruktuře veřejných klíčů.

Správce musí nakonfigurovat důvěryhodné certifikační autority, které vydávají uživatelské certifikáty. K provedení změn jsou potřeba jenom správci s nejnižšími oprávněními. Úložiště důvěryhodnosti na základě infrastruktury veřejných klíčů má roli RBAC správce autorizace oprávnění.

Funkce nahrání PKI v úložišti důvěryhodnosti na bázi PKI je k dispozici pouze s licencí Microsoft Entra ID P1 nebo P2. S bezplatnou licencí ale můžou správci nahrát všechny certifikační autority jednotlivě místo souboru PKI a nakonfigurovat úložiště důvěryhodnosti na základě infrastruktury veřejných klíčů.

Konfigurace certifikačních autorit pomocí Centra pro správu Microsoft Entra

Vytvoření objektu kontejneru PKI

  1. Vytvořte objekt kontejneru PKI.

  2. Přihlaste se do Centra pro správu Microsoft Entra jako správce ověřování oprávnění .

  3. Procházejte Entra ID>skóre zabezpečení identity>infrastrukturu veřejného klíče (Preview).

  4. Klikněte na + Vytvořit PKI.

  5. Zadejte zobrazovaný název.

  6. Klikněte na Vytvořit.

    Diagram kroků potřebných k vytvoření infrastruktury veřejných klíčů

  7. Vyberte Sloupce , které chcete přidat nebo odstranit.

  8. Vyberte Aktualizovat pro aktualizaci seznamu PKI.

Odstranění objektu kontejneru PKI

  1. Pokud chcete odstranit pkI, vyberte pkI a vyberte Odstranit. Pokud infrastruktura veřejných klíčů obsahuje certifikační autority, zadejte název infrastruktury veřejných klíčů, abyste potvrdili odstranění všech certifikačních autorit v něm, a vyberte Odstranit.

    Diagram kroků potřebných k odstranění infrastruktury veřejných klíčů

Nahrání jednotlivých certifikačních autorit do objektu kontejneru PKI

  1. Načtení certifikační autority do kontejneru PKI:

    1. Klikněte na + Přidat certifikační autoritu.

    2. Vyberte soubor certifikační autority.

    3. Pokud je certifikační autorita kořenovým certifikátem, vyberte ano. V opačném případě vyberte Ne.

    4. Pro adresu URL seznamu odvolaných certifikátů nastavte internetovou adresu URL základního seznamu CRL certifikační autority, která obsahuje všechny odvolané certifikáty. Pokud adresa URL není nastavená, ověřování s odvolanými certifikáty se nezdaří.

    5. Pro adresu URL seznamu odvolaných certifikátů Delta nastavte internetovou adresu URL seznamu odvolaných certifikátů, která obsahuje všechny odvolané certifikáty od posledního publikování základního seznamu CRL.

    6. Příznak Tipy vystavitele je ve výchozím nastavení povolený. Pokud by certifikační autorita neměla být zahrnuta do nápovědy vystavitele, vypněte nápovědy vystavitele.

    7. Vyberte Uložit.

    8. Pokud chcete odstranit certifikát certifikační autority, vyberte certifikát a vyberte Odstranit.

      Diagram postupu odstranění certifikátu certifikační autority

    9. Vyberte Sloupce , které chcete přidat nebo odstranit.

    10. Výběrem možnosti Aktualizovat aktualizujte seznam certifikačních autorit.

    11. Zpočátku se zobrazí 100 certifikátů certifikační autority a zobrazí se více, jakmile se stránka posune dolů.

Nahrání všech certifikačních autorit s nahráním infrastruktury veřejných klíčů do objektu kontejneru PKI

  1. Nahrát všechny CA najednou do kontejneru PKI:

    1. Vytvořte objekt kontejneru PKI nebo ho otevřete.
    2. Vyberte Nahrát PKI.
    3. Zadejte internetovou adresu URL http, kde je k dispozici soubor .p7b.
    4. Zadejte kontrolní součet SHA256 souboru.
    5. Vyberte nahrávání.
    6. Nahrání PKI je asynchronní proces. Jakmile je každá certifikační autorita nahrána, je dostupná v PKI. Dokončení nahrávání infrastruktury veřejných klíčů může trvat až 30 minut.
    7. Vyberte Aktualizovat pro obnovení certifikačních autorit.
    8. Každý nahraný atribut koncového bodu CRL certifikační autority se aktualizuje podle první dostupné http URL certifikátu certifikační autority v atributu distribučních bodů CRL. Certifikát listové CA musí být aktualizován ručně správcem.

    Pokud chcete vygenerovat kontrolní součet SHA256 souboru PKI .p7b, spusťte tento příkaz:

    Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Úprava PKI

  1. Chcete-li upravit PKI, vyberte ... na řádku PKI a vyberte Upravit.
  2. Zadejte nový název PKI a vyberte Uložit.

Úprava certifikační autority (CA)

  1. Pokud chcete upravit certifikační autoritu, vyberte ... na řádku certifikační autority a vyberte Upravit.
  2. Zadejte nové hodnoty pro typ certifikační autority (kořenový/zprostředkující), adresu URL seznamu CRL, adresu URL seznamu Delta CRL, příznak povolené nápovědy vystavitele podle potřeby a vyberte Uložit.

Hromadná úprava atributu nápovědy vystavovatele

  1. Pokud chcete upravit atribut povolených rad vystavitele u více certifikačních autorit, vyberte více certifikačních autorit a zvolte Upravit a poté vyberte Upravit rady vystavitele.
  2. Výchozí hodnota je neurčitá. Vyberte možnost, pokud chcete povolit příznak Povolit tipy vystavitele pro všechny vybrané certifikační autority, nebo zrušte výběr, pokud chcete příznak Povolit tipy vystavitele zakázat pro všechny vybrané certifikační autority.
  3. Zvolte Uložit.

Obnovení infrastruktury veřejných klíčů

  1. Vyberte kartu Odstraněné PKI.
  2. Vyberte PKI a vyberte Obnovit PKI.

Obnovení certifikační autority

  1. Vyberte záložku Odstraněné certifikační autority.
  2. Vyberte soubor certifikační autority a vyberte Obnovit certifikační autoritu.

Porozumění atributu isIssuerHintEnabled v kontextu certifikační autority

Nápovědy vydavatele vracejí indikaci důvěryhodné certifikační autority jako součást TLS handshake (Transport Layer Security). Seznam důvěryhodných certifikačních autorit je sestaven z certifikačních autorit nahraných tenantem do úložiště důvěryhodnosti Entra. Další informace o tipech ohledně vystavitele naleznete v tématu Porozumění tipům ohledně vystavitele.

Ve výchozím nastavení se názvy všech certifikačních autorit v úložišti důvěryhodnosti Microsoft Entra odesílají jako nápovědy. Pokud chcete odeslat nápovědu pouze s konkrétními certifikačními autoritami, nastavte atribut nápověda vystavitele isIssuerHintEnabled na true.

Limit pro nápovědy vystavitele (název subjektu certifikační autority), které může server odeslat zpět klientovi TLS, je 16 kB. Jako dobrý postup nastavte atribut isIssuerHintEnabled na true pouze pro certifikační autority, které vydávají uživatelské certifikáty.

Pokud několik zprostředkujících certifikačních autorit ze stejného kořenového certifikátu vydává certifikáty koncových uživatelů, ve výchozím nastavení se všechny certifikáty zobrazí v nástroji pro výběr certifikátu. Pokud ale nastavíte isIssuerHintEnabled pro true konkrétní certifikační autority, zobrazí se v nástroji pro výběr certifikátu pouze správné uživatelské certifikáty. Chcete-li povolit isIssuerHintEnabled, upravte CA a aktualizujte hodnotu na true.

Konfigurace certifikačních autorit pomocí rozhraní Microsoft Graph API

Rozhraní Microsoft Graph API je možné použít ke konfiguraci certifikačních autorit. Následující příklady ukazují, jak pomocí Microsoft Graphu spouštět operace Vytvoření, Čtení, Aktualizace nebo Odstranění (CRUD) pro PKI nebo CA.

Vytvoření objektu kontejneru PKI

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/
Content-Type: application/json
{
   "displayName": "ContosoPKI"
}

Získání všech objektů PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations
ConsistencyLevel: eventual

Získání objektu PKI podle ID PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/
ConsistencyLevel: eventual

Nahrajte CA pomocí souboru .p7b

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
    	"uploadUrl":"https://CBA/demo/CBARootPKI.p7b,
    	"sha256FileHash": "AAAAAAD7F909EC2688567DE4B4B0C404443140D128FE14C577C5E0873F68C0FE861E6F"
}

Získejte všechny certifikační autority v PKI

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities
ConsistencyLevel: eventual

Získání konkrétní certifikační autority v rámci PKI podle ID certifikační autority

GET https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
ConsistencyLevel: eventual

Aktualizace indikátoru pro konkrétního vystavitele certifikační autority

PATCH https://graph.microsoft.com/beta/directory/publicKeyInfrastructure/certificateBasedAuthConfigurations/{PKI-id}/certificateAuthorities/{CA-id}
Content-Type: application/json
{
   "isIssuerHintEnabled": true
}

Pro tuto konfiguraci můžete nakonfigurovat certifikační autority (CA) pomocí PowerShellu. Můžete použít [Microsoft Graph PowerShell] (/powershell/microsoftgraph/installation).

  1. Spusťte PowerShell s oprávněními správce.

  2. Nainstalujte a naimportujte sadu Microsoft Graph PowerShell SDK.

    Install-Module Microsoft.Graph -Scope AllUsers
Import-Module Microsoft.Graph.Authentication
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  3. Připojte se k tenantovi a přijměte vše.

       Connect-MGGraph -Scopes "Directory.ReadWrite.All", "User.ReadWrite.All" -TenantId <tenantId>

Stanovení priorit mezi úložištěm důvěryhodnosti založeným na infrastruktuře veřejných klíčů a klasickým úložištěm certifikační autority

Úložiště certifikační autority využívající infrastrukturu veřejných klíčů bude upřednostněno, pokud certifikační autorita existuje jak v tomto úložišti, tak v klasickém úložišti certifikační autority. Klasické úložiště CA bude použito 1. pokud certifikační autorita existuje v obou úložištích, ale úložiště založené na infrastruktuře pkI nemá žádný CRL, ale klasická certifikační autorita úložiště má platný CRL 2. pokud certifikační autorita existuje v obou úložištích, ale CRL certifikační autority v úložišti PKI se liší od CRL certifikační autority v klasickém úložišti.

Protokol přihlášení

Záznam o přerušení přihlášení Entra bude mít v Dalších podrobnostech dva atributy, které budou indikovat, zda bylo při ověřování vůbec použito zastaralé úložiště.

  • Atribut Legacy Store Used bude mít hodnotu 0 označující využití PKI úložiště a hodnotu 1 označující použití klasického nebo staršího úložiště.
  • Atribut Legacy Store Use Information uvede důvod použití staršího úložiště.

Záznam přihlášení pro použití úložiště PKI nebo úložiště starších certifikačních autorit

Protokol auditu

Jakékoli CRUD operace na PKI nebo CA v rámci úložiště důvěryhodnosti se protokolují do protokolů auditu Microsoft Entra.

Diagram protokolů auditu

Migrace z klasického úložiště certifikační autority do úložiště založeného na infrastruktuře veřejných klíčů

Správce tenanta může nahrát všechny certifikační autority do úložiště založeného na infrastruktuře veřejných klíčů a s úložištěm certifikační autority PKI, které má přednost před úložištěm CLassic, dojde ke všem ověřováním CBA pomocí úložiště založeného na infrastruktuře veřejných klíčů. Správce tenanta může certifikační autority ze staršího úložiště odebrat po potvrzení, že protokoly přihlášení neukazují žádné používání staršího úložiště.

Nejčastější dotazy

Otázka: Proč nahrávání infrastruktury veřejných klíčů selže?

Odpověď: Zkontrolujte, jestli je soubor PKI platný a je přístupný bez jakýchkoli problémů. Maximální velikost souboru PKI by měla být

Otázka: Jaká je smlouva o úrovni služeb (SLA) pro nahrání PKI?

Odpověď: Nahrání PKI je asynchronní operace a dokončení může trvat až 30 minut.

Otázka: Jak vygenerujete kontrolní součet SHA256 pro soubor PKI?

Odpověď: Pokud chcete vygenerovat kontrolní součet SHA256 souboru PKI.p7b, spusťte tento příkaz:

Get-FileHash .\CBARootPKI.p7b -Algorithm SHA256

Krok 2: Povolení CBA pro tenanta

Důležité

Uživatel je považován za schopný vícefaktorové ověřování, pokud je uživatel v oboru ověřování na základě certifikátu v zásadách metod ověřování. Tento požadavek zásad znamená, že uživatel nemůže použít prokázání identity jako součást svého ověřovacího procesu k registraci dalších dostupných metod. Pokud uživatelé nemají přístup k certifikátům, zamknou se a nemůžou pro vícefaktorové ověřování zaregistrovat jiné metody. Správci zásad ověřování musí povolit CBA jenom pro uživatele, kteří mají platné certifikáty. Nezahrnujte do CBA všechny uživatele. Používejte jenom skupiny uživatelů s platnými dostupnými certifikáty. Další informace naleznete v tématu Vícefaktorové ověřování Microsoft Entra.

Pokud chcete povolit CBA v Centru pro správu Microsoft Entra, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.

  2. Přejděte na Skupiny>Všechny skupiny> , vyberte Možnost Nová skupina a vytvořte skupinu pro uživatele CBA.

  3. Přejděte k Entra ID>metodám ověřování>autentizace založená na certifikátech.

  4. V části Povolit a Cíl vyberte Povolit a klepněte na tlačítko Potvrdit.

  5. Klikněte na Vybrat skupiny, klikněte na Přidat skupiny.

  6. Zvolte konkrétní skupiny, jako je ten, který jste vytvořili, a klikněte na Vybrat. Místo všech uživatelů používejte konkrétní skupiny.

  7. Až budete hotovi, klikněte na Uložit.

    Snímek obrazovky, jak povolit CBA

Jakmile je v tenantovi povolené ověřování na základě certifikátů, uvidí všichni uživatelé v tenantovi možnost přihlásit se pomocí certifikátu. Jenom uživatelé, kteří mají povolený přístup k CBA, se mohou ověřit pomocí certifikátu X.509.

Poznámka:

Správce sítě by měl povolit přístup k certauth koncovému bodu pro cloudové prostředí zákazníka kromě login.microsoftonline.com. Zakažte inspekci TLS na koncovém bodu certauth, abyste zajistili úspěšnost žádosti o klientský certifikát jako součást TLS handshake.

Krok 3: Konfigurace zásad vazby ověřování

Zásady vázání ověřování pomáhají určit sílu autentizace buď na jeden faktor, nebo na více faktorů. Výchozí úroveň ochrany pro všechny certifikáty v tenantovi je jednofaktorové ověřování. Výchozí vazba spřažení na úrovni tenanta je Nízká. Správce zásad ověřování může změnit výchozí hodnotu z jednofaktorového na vícefaktorové a pokud se změní, budou všechny certifikáty v tenantovi považovány za silné vícefaktorové ověřování. Podobně lze vazbu spřažení na úrovni tenanta nastavit na vysokou , což znamená, že všechny certifikáty budou ověřeny pouze pomocí atributů spřažení.

Důležité

Správce by měl nastavit výchozí hodnotu tenanta pro většinu certifikátů a vytvořit vlastní pravidla pouze pro konkrétní certifikáty, které potřebují jinou úroveň ochrany nebo vazbu spřažení než výchozí nastavení tenanta. Všechny konfigurace metod ověřování se dostanou do stejného souboru zásad, takže vytvoření více redundantních pravidel může dojít k dosažení limitu souboru zásad.

Pravidla vazby ověřování mapují atributy certifikátu, jako je Vystavitel, ID objektu zásad (OID) či kombinace Vystavitele a OID zásad, na hodnotu a určují výchozí úroveň ochrany i vazbu spřažení pro toto pravidlo. Pokud chcete upravit výchozí nastavení tenanta a vytvořit vlastní pravidla v Centru pro správu Microsoft Entra, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.

  2. Přejděte na Entra ID>Metody ověřování>Zásady.

  3. V části Spravovat vyberte metody ověřování>autentizace založená na certifikátech.

    Snímek obrazovky se zásadami ověřování

  4. Výběrem možnosti Konfigurovat nastavíte ověřovací vazbu a vazbu uživatelského jména.

  5. Atribut úrovně ochrany má výchozí hodnotu jednofaktorového ověřování. Vyberte Vícefaktorové ověřování a změňte výchozí hodnotu na vícefaktorové ověřování.

    Poznámka:

    Výchozí hodnota na úrovni ochrany platí, pokud nejsou přidána žádná vlastní pravidla. Pokud se přidají vlastní pravidla, je místo toho dodržena úroveň ochrany definovaná na úrovni pravidla.

    Snímek obrazovky znázorňuje, jak změnit výchozí zásadu na vícefaktorové ověřování

  6. Můžete také nastavit vlastní pravidla vazby autentizace, která pomáhají určit úroveň ochrany pro klientské certifikáty, u kterých je třeba odlišných hodnot pro úroveň ochrany nebo vazby afinity než těch, které jsou výchozí pro tenanta. Pravidla je možné nakonfigurovat pomocí subjektu vydavatele nebo identifikátoru zásad OID, nebo obou polí v certifikátu.

    Ověřovací pravidla vazby mapují atributy certifikátu (vystavitel nebo Policy OID) na hodnotu a vybírají výchozí úroveň ochrany pro toto pravidlo. Lze vytvořit více pravidel. V níže uvedené konfiguraci předpokládejme, že výchozí nastavení tenanta je Vícefaktorové ověřování a nízká afinitní vazba.

    Pokud chcete přidat vlastní pravidla, vyberte Přidat pravidlo.

    Snímek obrazovky znázorňuje, jak přidat pravidlo

    Pokud chcete vytvořit pravidlo podle vystavitele certifikátu, vyberte Vystavitel certifikátu.

    1. V seznamu vyberte identifikátor vystavitele certifikátu .

    2. Vyberte vícefaktorové ověřování, ale vazbu s vysokou afinitou, a potom klikněte na Přidat. Po zobrazení výzvy klikněte na potvrzení a dokončete přidání pravidla.

      Snímek obrazovky se zásadami vícefaktorového ověřování

    Pokud chcete vytvořit pravidlo podle identifikátoru zásad, vyberte OID zásad.

    1. Zadejte hodnotu pro identifikátor zásad.

    2. Vyberte jednofaktorové ověřování, vazbu s nízkou afinitou a klikněte na Přidat. Po zobrazení výzvy klikněte na potvrzení a dokončete přidání pravidla.

      Snímek obrazovky s mapováním na identifikátor zásad

    Jak vytvořit pravidlo podle identifikátoru vystavitele a identifikátoru zásady (OID):

    1. Vyberte vystavitele certifikátu a identifikátor zásad.

    2. Vyberte vystavitele a zadejte OID zásady.

    3. Pro sílu ověřování vyberte Vícefaktorové ověřování.

    4. Pro vázání afinity vyberte Vysoká.

      Snímek obrazovky znázorňuje, jak vybrat vazbu s nízkou afinitou.

    5. Vyberte Přidat.

      Snímek obrazovky, jak přidat vazbu s nízkou afinitou.

    6. Ověřte se pomocí certifikátu, který má identifikátor zásad 3.4.5.6 a je vydán vydavatelem CN=CBATestRootProd. Ověřování by mělo projít a získat vícefaktorové přístupové oprávnění.

    Vytvořit pravidlo podle vystavitele a sériového čísla:

    1. Přidejte zásadu vazby autentizace. Tato zásada vyžaduje, aby jakýkoli certifikát vydaný CN=CBATestRootProd s policyOID 1.2.3.4.6 vyžadoval pouze vysokou afinitní vazbu. Používají se vystavitel a sériové číslo.

      Snímek obrazovky s vystavitelem a sériovým číslem byl přidán do centra pro správu Microsoft Entra.

    2. Vyberte pole certifikátu. V tomto příkladu vybereme Vystavitel a Sériové číslo.

      Snímek obrazovky s výběrem možnosti Vystavitel a Sériové číslo

    3. Jediný podporovaný atribut uživatele je CertificateUserIds. Vyberte Přidat.

      Snímek obrazovky znázorňuje, jak přidat vystavitele a sériové číslo.

    4. Vyberte Uložit.

      Záznam přihlašování ukazuje, jaký mechanismus byl použit pro přihlášení, a podrobnosti z certifikátu.

      Snímek obrazovky s protokolem přihlášení

  7. Vyberte ok a uložte jakékoli vlastní pravidlo.

Důležité

Zadejte objekt PolicyOID pomocí formátu identifikátoru objektu. Pokud například zásada certifikátu říká Všechny zásady vystavování, při přidání pravidla zadejte identifikátor OID jako 2.5.29.32.0 . Řetězec Všechny zásady vystavování je pro editor pravidel neplatný a nevstupuje v platnost.

Krok 4: Konfigurace zásad vazby uživatelského jména

Zásady vazby uživatelského jména pomáhají ověřit certifikát uživatele. Ve výchozím nastavení mapujeme hlavní název v certifikátu na UserPrincipalName v objektu uživatele k určení uživatele.

Správce zásad ověřování může přepsat výchozí nastavení a vytvořit vlastní mapování. Informace o konfiguraci vazby uživatelského jména najdete v tématu Jak funguje vazba uživatelského jména.

Další scénáře, které používají atribut certificateUserIds, najdete v tématu ID uživatele certifikátu.

Důležité

Pokud zásada vazby uživatelského jména používá synchronizované atributy, jako jsou certificateUserIds, onPremisesUserPrincipalName a atribut userPrincipalName objektu uživatele, mějte na paměti, že účty s oprávněními správce ve službě Active Directory (například účty s delegovanými právy k uživatelským objektům nebo právy správce na serveru Microsoft Entra Connect) mohou provádět změny, které mají vliv na tyto atributy v Microsoft Entra ID.

  1. Vytvořte vazbu uživatelského jména výběrem jednoho z polí certifikátu X.509 pro spojení s jedním z atributů uživatele. Pořadí vazeb uživatelských jmen představuje úroveň priority vazby. První z nich má nejvyšší prioritu a tak dále.

    Snímek obrazovky se zásadami vazby uživatelského jména

    Pokud je v certifikátu nalezeno zadané pole certifikátu X.509, ale ID Microsoft Entra nenajde objekt uživatele používající tuto hodnotu, ověření selže. Microsoft Entra ID vyzkouší další vazbu v seznamu.

  2. Výběrem možnosti Uložit uložte změny.

Konečná konfigurace vypadá takto:

Snímek obrazovky s konečnou konfigurací

Krok 5: Otestování konfigurace

Tato část popisuje, jak testovat svůj certifikát a vlastní pravidla vazby pro ověřování.

Otestování certifikátu

Jako první test konfigurace byste se měli pokusit přihlásit k portálu MyApps pomocí prohlížeče na zařízení.

  1. Zadejte hlavní název uživatele (UPN).

    Snímek obrazovky s hlavním názvem uživatele

  2. Vyberte Další.

    Snímek obrazovky s přihlášením pomocí certifikátu

    Pokud jste povolili jiné metody ověřování, jako je přihlášení k telefonu nebo FIDO2, můžou se uživatelům zobrazit jiná přihlašovací obrazovka.

    Snímek obrazovky s alternativním přihlášením

  3. Vyberte Přihlásit se pomocí certifikátu.

  4. V uživatelském rozhraní pro výběr klientského certifikátu vyberte správný uživatelský certifikát a vyberte OK.

    Snímek obrazovky s uživatelským rozhraním pro výběr certifikátu

  5. Uživatelé by měli být přihlášení k portálu MyApps.

Pokud je přihlášení úspěšné, pak víte, že:

  • Uživatelský certifikát je přidělen do vašeho testovacího zařízení.
  • ID Microsoft Entra je správně nakonfigurované s důvěryhodnými certifikačními autoritami.
  • Vazba uživatelského jména je správně nakonfigurována, uživatel byl nalezen a ověřen.

Testování vlastních pravidel vazeb ověřování

Podívejme se na scénář, ve kterém ověřujeme silnou autentizaci. Vytvoříme dvě pravidla zásad ověřování: jedno s využitím subjektu vystavitele pro splnění jednofaktorového ověřování a druhé s využitím OID zásad pro splnění vícefaktorového ověřování.

  1. Vytvořte pravidlo subjektu vydavatele s úrovní ochrany nastavenou na jednofaktorové ověřování a hodnotou nastavenou na hodnotu subjektu vaší certifikační autority. Příklad:

    CN = WoodgroveCA

  2. Vytvořte pravidlo OID zásad s úrovní ochrany jako ověřování pomocí více faktorů a hodnotou nastavenou na jeden z OID zásad ve vašem certifikátu. Například 1.2.3.4.

    Snímek obrazovky s pravidlem OID zásad

  3. Vytvořte zásadu podmíněného přístupu, aby uživatel vyžadoval vícefaktorové ověřování pomocí následujícího postupu v části Podmíněný přístup – Vyžaduje vícefaktorové ověřování.

  4. Přejděte na portál MyApps. Zadejte UPN a vyberte Další.

    Snímek obrazovky s hlavním názvem uživatele

  5. Vyberte Přihlásit se pomocí certifikátu.

    Snímek obrazovky s přihlášením pomocí certifikátu

    Pokud jste povolili jiné metody ověřování, jako je přihlášení k telefonu nebo bezpečnostní klíče, můžou se uživatelům zobrazit jiná přihlašovací obrazovka.

    Snímek obrazovky s alternativním přihlášením

  6. Vyberte klientský certifikát a vyberte Informace o certifikátu.

    Snímek obrazovky výběru klienta

  7. Zobrazí se certifikát a můžete ověřit hodnoty vystavitele a hodnoty OID pravidel. Snímek obrazovky vystavitele

  8. Chcete-li zobrazit hodnoty OID zásad, zvolte Podrobnosti.

    Snímek obrazovky s podrobnostmi o ověřování

  9. Vyberte klientský certifikát a vyberte OK.

  10. Identifikátor zásady v certifikátu odpovídá nakonfigurované hodnotě 1.2.3.4 a splňuje vícefaktorové ověřování. Podobně i vystavitel v certifikátu odpovídá nakonfigurované hodnotě CN=WoodgroveCA a splňuje požadavky pro jednofaktorové ověřování.

  11. Vzhledem k tomu, že pravidlo OID zásady má přednost před pravidlem vystavitele, certifikát splňuje vícefaktorové ověřování.

  12. Zásady podmíněného přístupu pro uživatele vyžadují vícefaktorové ověřování a certifikát splňuje vícefaktorové ověřování, aby se uživatel mohl přihlásit k aplikaci.

Testovací politika vazby uživatelského jména

Zásady vazby uživatelského jména pomáhají ověřit certifikát uživatele. Existují tři vazby, které jsou podporovány pro zásady vazby uživatelského jména:

  • VydavatelASériovéČíslo>IdentifikátoryUživatelůCertifikátu
  • VydavatelASubjekt>UživateléCertifikátů
  • Předmět>CertificateUserIds

Ve výchozím nastavení Microsoft Entra ID mapuje hlavní název v certifikátu na UserPrincipalName v objektu uživatele k určení uživatele. Správce zásad ověřování může přepsat výchozí nastavení a vytvořit vlastní mapování, jak je vysvětleno výše.

Správce zásad ověřování musí povolit nové vazby. Aby se mohli připravit, musí se ujistit, že jsou v atributu CertificateUserIds objektu uživatele aktualizovány správné hodnoty pro odpovídající vazby uživatelského jména:

Důležité

Formát hodnot Vystavitel, Subjekt a Sériové číslo by měl být v obráceném pořadí oproti jejich formátu v certifikátu. Nepřidávejte žádné mezery v údajích vystavitele nebo subjektu.

Ruční mapování vystavitele a sériového čísla

Tady je příklad manuálního mapování emitenta a sériového čísla. Hodnota vystavitele, která má být přidána, je:

C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate

Snímek obrazovky s hodnotou Vystavitel

Pokud chcete získat správnou hodnotu sériového čísla, spusťte následující příkaz a uložte hodnotu uvedenou v CertificateUserIds. Syntaxe příkazu je:

Certutil –dump –v [~certificate path~] >> [~dumpFile path~]

Příklad:

certutil -dump -v firstusercert.cer >> firstCertDump.txt

Tady je příklad příkazu certutil:

certutil -dump -v C:\save\CBA\certs\CBATestRootProd\mfausercer.cer 

X509 Certificate: 
Version: 3 
Serial Number: 48efa06ba8127299499b069f133441b2 

   b2 41 34 13 9f 06 9b 49 99 72 12 a8 6b a0 ef 48

Hodnota SerialNumber, která má být přidána v CertificateUserId je:

b24134139f069b4997212a86ba0ef48

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<SR> b24134139f069b49997212a86ba0ef48

Ruční mapování problému a předmětu

Tady je příklad ručního mapování problému a předmětu. Hodnota Vystavitele je:

Snímek obrazovky s hodnotou vydavatele při použití s více vazbami.

Hodnota předmětu je:

Snímek obrazovky s hodnotou Předmět

CertificateUserId:

X509:<I>C=US,O=U.SGovernment,OU=DoD,OU=PKI,OU=CONTRACTOR,CN=CRL.BALA.SelfSignedCertificate<S> DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Ruční mapování předmětu

Tady je příklad ručního mapování předmětu. Hodnota předmětu je:

Snímek obrazovky jiné hodnoty objektu.

CertificateUserId:

X509:<S>DC=com,DC=contoso,DC=corp,OU=UserAccounts,CN=FirstUserATCSession

Testovací afinitní vazba

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.

  2. Přejděte na Entra ID>Metody ověřování>Zásady.

  3. V části Spravovat vyberte metody ověřování>autentizace založená na certifikátech.

  4. Vyberte Konfigurovat.

  5. Nastavte požadovanou vazbu spřažení na úrovni tenanta.

    Důležité

    Dávejte pozor na nastavení spřažení pro celý tenant. Pokud změníte požadovanou vazbu spřažení pro tenanta a v objektu uživatele nemáte správné hodnoty, můžete uzamknout celého tenanta. Podobně pokud vytvoříte vlastní pravidlo, které platí pro všechny uživatele a vyžaduje vysokou afinitní vazbu, mohou se uživatelé v tenantu uzamknout.

    Snímek obrazovky znázorňující, jak nastavit požadované vazby affinity.

  6. Pokud chcete testovat, vyberte požadovanou vazbu spřažení , aby byla nízká.

  7. Přidejte vázání s vysokou afinitou, jako je SKI. V části Vazba uživatelského jména vyberte Přidat pravidlo.

  8. Vyberte SKI a vyberte Přidat.

    Snímek obrazovky ukazuje, jak přidat afinitní vazbu

    Po dokončení vypadá pravidlo jako tento snímek obrazovky:

    Snímek obrazovky s dokončenou afinitní vazbou

  9. Aktualizujte všechny objekty uživatele CertificateUserIds atribut, aby měly správnou hodnotu SKI z uživatelského certifikátu. Další informace naleznete v tématu Podporované vzory pro CertificateUserID.

  10. Vytvořte vlastní pravidlo pro vazbu ověřování.

  11. Vyberte Přidat.

    Snímek obrazovky s vlastní ověřovací vazbou.

    Po dokončení vypadá pravidlo jako tento snímek obrazovky:

    Snímek obrazovky s vlastním pravidlem

  12. Aktualizujte CertificateUserIds správnou hodnotou SKI z certifikátu s politikou OID 9.8.7.5.

  13. Otestujte certifikát s politikou OID 9.8.7.5 a zajistěte, aby byl uživatel ověřen prostřednictvím vazby SKI a získal vícefaktorové ověřování pouze pomocí certifikátu.

Povolit službu CBA pomocí rozhraní Microsoft Graph API

Pokud chcete povolit CBA a nakonfigurovat vazby uživatelského jména pomocí rozhraní Graph API, proveďte následující kroky.

  1. Přejděte do Microsoft Graph Exploreru.

  2. Vyberte Přihlásit se k Graph Exploreru a přihlaste se ke svému tenantovi.

  3. Postupujte podle pokynů pro vyjádření souhlasu s delegovaným oprávněním Policy.ReadWrite.AuthenticationMethod.

  4. GET všechny metody autentizace:

    GET  https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  5. ZÍSKEJTE konfiguraci pro metodu ověřování certifikátu x509:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy/authenticationMethodConfigurations/X509Certificate

  6. Ve výchozím nastavení je metoda ověřování certifikátu x509 zakázaná. Pokud chcete uživatelům umožnit přihlášení pomocí certifikátu, musíte povolit metodu ověřování a nakonfigurovat zásady ověřování a vazby uživatelského jména prostřednictvím operace aktualizace. Pokud chcete aktualizovat zásady, spusťte požadavek PATCH.

    Text požadavku:

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate
Content-Type: application/json

{
    "@odata.type": "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration",
    "id": "X509Certificate",
    "state": "enabled",
    "certificateUserBindings": [
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "onPremisesUserPrincipalName",
            "priority": 1
        },
        {
            "x509CertificateField": "RFC822Name",
            "userProperty": "userPrincipalName",
            "priority": 2
        }, 
        {
            "x509CertificateField": "PrincipalName",
            "userProperty": "certificateUserIds",
            "priority": 3
        }
    ],
    "authenticationModeConfiguration": {
        "x509CertificateAuthenticationDefaultMode": "x509CertificateSingleFactor",
        "rules": [
            {
                "x509CertificateRuleType": "issuerSubject",
                "identifier": "CN=WoodgroveCA ",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            },
            {
                "x509CertificateRuleType": "policyOID",
                "identifier": "1.2.3.4",
                "x509CertificateAuthenticationMode": "x509CertificateMultiFactor"
            }
        ]
    },
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false
        }
    ]
}

  7. Získáte 204 No content kód odpovědi. Znovu spusťte požadavek GET, abyste měli jistotu, že jsou zásady správně aktualizované.

  8. Otestujte konfiguraci přihlášením pomocí certifikátu, který splňuje zásady.

Povolení CBA pomocí Microsoft PowerShellu

  1. Otevřete PowerShell.
  2. Připojení k Microsoft Graphu: 
    Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"
  3. Vytvořte proměnnou pro definování skupiny pro uživatele CBA: 
    $group = Get-MgGroup -Filter "displayName eq 'CBATestGroup'"
  4. Definujte text požadavku: 
    $body = @{
"@odata.type" = "#microsoft.graph.x509CertificateAuthenticationMethodConfiguration"
"id" = "X509Certificate"
"state" = "enabled"
"certificateUserBindings" = @(
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "SubjectKeyIdentifier"
        "userProperty" = "certificateUserIds"
        "priority" = 1
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "PrincipalName"
        "userProperty" = "UserPrincipalName"
        "priority" = 2
    },
    @{
        "@odata.type" = "#microsoft.graph.x509CertificateUserBinding"
        "x509CertificateField" = "RFC822Name"
        "userProperty" = "userPrincipalName"
        "priority" = 3
    }
)
"authenticationModeConfiguration" = @{
    "@odata.type" = "#microsoft.graph.x509CertificateAuthenticationModeConfiguration"
    "x509CertificateAuthenticationDefaultMode" = "x509CertificateMultiFactor"
    "rules" = @(
        @{
            "@odata.type" = "#microsoft.graph.x509CertificateRule"
            "x509CertificateRuleType" = "policyOID"
            "identifier" = "1.3.6.1.4.1.311.21.1"
            "x509CertificateAuthenticationMode" = "x509CertificateMultiFactor"
        }
    )
}
"includeTargets" = @(
    @{
        "targetType" = "group"
        "id" = $group.Id
        "isRegistrationRequired" = $false
    }
) } | ConvertTo-Json -Depth 5
  5. Spusťte požadavek PATCH: 
    Invoke-MgGraphRequest -Method PATCH -Uri "https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/x509Certificate" -Body $body -ContentType "application/json"

Další kroky